RGPD – D Day!!!

RGPD – D Day!!!

Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.
Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.
Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.

Entrée en application du RGPD dans moins d’un mois – Conseils pratiques pour se mettre en conformité

Entrée en application du RGPD dans moins d’un mois – Conseils pratiques pour se mettre en conformité

Le Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») entrera en application le 25 mai 2018.

Si votre société n’est pas prête, il est grand temps d’entamer un processus de mise en conformité.

 

1.Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?

C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.

Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.

Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Dessin communautaire: le Tribunal de l’Union Européenne confirme l’annulation de l’enregistrement du dessin de Crocs

Dessin communautaire: le Tribunal de l’Union Européenne confirme l’annulation de l’enregistrement du dessin de Crocs

Dans un jugement du 14 mars 2018, le Tribunal de l’UE a confirmé l’annulation de l’enregistrement du dessin de Crocs du fait que celui-ci a été divulgué au public avant son enregistrement.

Le Règlement (CE) no 6/2002 du Conseil du 12 décembre 2001 sur les dessins ou modèles communautaires prévoit la protection d’un dessin ou modèle communautaire dans la mesure où il est nouveau et présente un caractère individuel. Ainsi, un dessin ne peut être considéré comme nouveau s’il a été divulgué au public antérieurement à la période de douze mois précédant la date de priorité revendiquée. Le Règlement prévoit toutefois une exception si le demandeur rapporte la preuve que la divulgation ne pouvait raisonnablement être connue des milieux spécialisés opérant dans l’Union européenne.

En l’espèce, le dessin a été enregistré comme dessin communautaire le 8 février 2005 en revendiquant la priorité d’une demande de brevet des Etats Unis déposée le 28 mai 2004. La société française GIFI Diffusion a introduit auprès de l’EUIPO une demande en nullité du dessin prétendant que le dessin n’était pas nouveau et qu’il aurait été divulgué avant mai 2003 (c’est-à-dire antérieurement à la période de douze mois précédant la date de priorité revendiquée aux Etats-Unis).

L’EUIPO a déclaré la nullité du dessin, considérant que celui-ci avait été divulgué avant le 28 mai 2003 et qu’en conséquence il était dépourvu de nouveauté (Décision du 6 juin 2016). L’EUIPO a retenu que la divulgation avait eu lieu au moyen i) de l’exposition sur le site Internet de Crocs ii) d’une exposition lors d’un salon nautique à Fort Lauderdale en Floride (États-Unis), et iii) de la disponibilité à la vente des sabots auxquels avait été appliqué le dessin (Affaire T-651/16 Crocs, Inc./EUIPO).

Le Tribunal de l’UE a estimé que Crocs n’avait pas démontré que la divulgation ne pouvait raisonnablement être connue des milieux spécialisés opérant dans l’Union européenne et a confirmé l’annulation du dessin communautaire.

http://curia.europa.eu/juris/document/document.jsf?text=&docid=200246&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=520607

RGPD : La CNIL explique sa ligne de conduite dans les prochains mois

RGPD : La CNIL explique sa ligne de conduite dans les prochains mois

Le 19 février 2018, la CNIL a publié sur son site des lignes explicitant la façon dont elle va intervenir dans les prochains mois à l’approche puis après l’entrée en application du RGPD.

Il convient de retenir, notamment, que:

– La CNIL travaille à l’élaboration d’une liste des traitements obligatoirement soumis à analyse d’impact et une liste des traitements pour lesquels, au contraire, aucune analyse n’est requise. Ces listes permettront aux responsables de traitement de savoir plus aisément s’ils sont ou non soumis à cette obligation.

– S’agissant de sa politique de contrôle, la CNIL indique qu’elle continuera à vérifier le respect des dispositions déjà en vigueur (notamment information et consentement) et qu’elle accompagnera les acteurs dans la compréhension des nouvelles obligations (analyse d’impact…).

– La CNIL n’exigera pas des responsables de traitement qu’ils effectuent immédiatement des analyses d’impact pour leurs traitements en cours à la date d’entrée en application du RGPD. En revanche, les responsables devront se mettre en conformité dans un délai maximal de trois ans pour les traitements présentant un risque élevé.

Le communiqué est à retrouver dans son intégralité ici: https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

Sécurité des données personnelles: la CNIL met à disposition un nouveau guide

Sécurité des données personnelles: la CNIL met à disposition un nouveau guide

La CNIL a mis à disposition ce jour un nouveau guide de la sécurité des données personnelles.

Pour mémoire, le Règlement européen n° 2016/679, dit « RGPD » (dont l’entrée en application est prévue le 26 Mai 2018), renforce les obligations de sécurité à la charge du responsable de traitement. Ainsi, l’article 32 du RGPD dispose que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Ce guide, qui a pour objet d’aider les responsables de traitement dans leur mise en conformité, rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles

La CNIL prononce une sanction de 100.000 euros à l’encontre de DARTY pour défaut de sécurité des données de ses clients dans le cadre du SAV

La CNIL prononce une sanction de 100.000 euros à l’encontre de DARTY pour défaut de sécurité des données de ses clients dans le cadre du SAV

La formation restreinte de la CNIL a prononcé, le 8 janvier 2018, une sanction de 100 000 euros à l’encontre de la société DARTY pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente (article 34 de la Loi Informatique et Libertés).

Lors d’un contrôle en ligne réalisé en mars 2017, les équipes de la CNIL ont constaté qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles. Bien que la faille ait été notifiée à la société, celle-ci n’était toujours pas corrigée lors du contrôle sur place réalisé quinze jours plus tard par la CNIL.

La CNIL a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

La CNIL vient préciser les obligations du responsable de traitement en matière de sécurisation des données personnelles. Afin de se conformer à ses obligations au titre de l’article 34 de la Loi Informatique et Libertés, le responsable de traitement doit, d’une part, procéder à des tests de vulnérabilité de ses outils et, d’autre part, désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

La CNIL estime qu’en l’espèce, la société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.

Par ailleurs, la société aurait dû, en sa qualité de responsable de traitement, procéder de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente.

 

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036403140&fastReqId=306045536&fastPos=1